nos magazines

Actualités gestion et logiciel informatique professionnel

Offre et recherche Emploi informatique internet

Salon conférences inofrmatique IT ebusiness 01

Vidéos reportage entreprise acteur informatique

Retrouvez tous les services 01Net dédiés aux professionnels !

Livres blancs e-commerce informatique et nouvelles technologies

Retrouvez l'ensemble des dossiers de la rédaction 01net Entreprise

Les synthèses des bonnes pratiques sur les sujets IT du moment

Agenda

Applications web et logiciels

Système d'exploitation

01net Entreprises > Actualités > Sécurité

Failles critiques dans Adobe Reader : désactivez Javascript !

Deux nouvelles failles critiques affectent Acrobat Reader, sur Linux, Windows et Mac. L'éditeur recommande de désactiver la fonction Javascript, en attendant de livrer un patch.

Gilbert Kallenborn

01net.

le 30/04/09 à 16h30

3 réactions

Deux failles ont été trouvées dans Acrobat Reader, le célèbre lecteur de PDF d'Adobe. Classées « hautement critique » par le site de veille sécuritaire Secunia, elles sont liées à deux fonctions Javascript : spell.customDictionaryOpen et getAnnots. Utilisées dans un document PDF, elles permettraient à une personne malintentionnée d'exécuter du code arbitraire à distance sur une machine après l'ouverture du fichier.

Ces deux brèches ont été détectées par un hacker nommé Arr1val, qui en livre la preuve sur le Web (ici et ici). Elles affecteraient toutes les versions récentes d'Acrobat Reader, de la 7.1 à la 9.1. Tous les systèmes sont touchés, aussi bien Linux que Windows et Mac.

Pour l'instant, il n'existe aucun patch qui permette de corriger ces deux failles. L'éditeur planche sur le sujet. En attendant, il recommande de désactiver la fonction Javascript dans le lecteur. Pour cela, il faut aller dans les menus suivants : Edition > Préférences > Javascript. Une autre solution est de désinstaller Acrobat Reader et de le remplacer par un logiciel alternatif tel que Foxit Reader. D'autres lecteurs de PDF sont listés sur le site PDFreaders.org.

Un logiciel à proscrire en entreprise

Hasard du calendrier, ces deux nouvelles failles ont été découvertes à peine une semaine après la conférence RSA, au cours de laquelle l'utilisation d'Adobe Reader en entreprise avait été sévèrement remise en question par Mikko Hypponen, le directeur des laboratoires de recherche de l'éditeur F-Secure. Ce dernier recommande de proscrire ce logiciel en environnement professionnel, car il est trop souvent sujet à des failles de sécurité. La preuve.

Actu précédente

Une faille irrémédiable dans Windows 7

Actu Suivante

Hadopi risque de coûter cher aux entreprises

envoyer
par mail

imprimer
l'article

3 AVIS SUR CET ARTICLE

Avis sur «Failles critiques dans Adobe Reader : désactivez Javascript !»

-1

de ac golala , posté le 01 mai 2009 à 09h54

Ils dorment chez adobe reader ou quoi ? d autant que c est pas la première fois que ça se produit , ok on peut passez par un autre l logiciel mais chaque fois désinstaller puis réinstallé y en a marre hein ? salut

alerter le modérateur

Melle

de lbcz , posté le 05 mai 2009 à 22h18

Comment désactiver la fonction de Javascript si on a 1000 machines !!!!???? Effectivement, il faut se poser la question s’il ne vaut pas mieux remplacer le Reader par un autre. En attendant, il faut guetter la mise à disposition du patch de Adobe et appliquer le correctif sans trop attendre sur tous les systèmes. C’est juste dommage que WSUS ne permet pas le patching de ce genre de correctifs. Le plus efficace étant d'avoir recours à des solutions de gestion de correctifs plus professionnelles.

alerter le modérateur